사이버 보안 규제 강화, AppSec 대응책 마련 필요

[산업일보]
최근 미국과 유럽연합에서 사이버보안 규제가 강화되고 있다. 이러한 규제 강화는 AppSec(Application Security)에도 큰 영향을 미칠 것으로 예상된다.

19일 열린 ‘제17회 국제 시큐리티 콘퍼런스(ISEC2023)’에서 시높시스 코리아(SYNOPSYS) 정성훈 부장은 보안 규제 동향과 대응 방안을 살폈다.

보안 규제는 소프트웨어 보안망 사건으로 강화됐다. 2017년, 미국의 개인 신용정보 업체 에퀴팩스가 해킹되며 수억 건의 고객기록이 유출됐다. 미국 인구 40%에 해당하는 수의 이름, 주소, 사회보장번호 등이 노출됐다.

2019년에는 네트웨크 모니터링 서비스 및 솔루션 업체 솔라윈즈가 해킹되며, 해당 서비스를 활용하고 있던 미국 연방 주요기관들과 유명기업들이 피해를 입었다. 이 사건으로 미국 정부는 ‘국가 사이버보안 개선 명령(EO 14028)’을 발의했다.

바이든 행정부가 2021년 5월 발표한 해당 행정 명령은 NIST(미국 국립표준기술원)를 포함한 여러 기관에 사이버보안을 강화할 것을 지시했다.

정성훈 부장은 “보안 담당자는 행정 명령 4절에 주목해야 하는데, 중요 소프트웨어가 무엇인지 정의하고, 공급망 보안 지침, 소프트웨어 개발 지침, SBOM(소프트웨어 공급망에 포함된 모든 소프트웨어 구성 요소와 그 정보를 문서화한 것) 등이 포함됐다”라며 “NIST는 중요 소프트웨어에 대해 ‘네트워크 혹은 컴퓨팅 자원에 직접⋅접근 권한이 있는 상승된 권한의 소프트웨어’로 정의 내렸다”라고 설명했다.

그는 “미국 행정 명령의 핵심 포인트는 정부와 민간이 위협 정보를 공유하고, 미연방 정부에서의 강력한 사이버보안 표준의 현대화를 구현하는 것”라고 말했다.

유럽연합은 2021년, ‘사이버복원력법(CYber Resilience Act)’을 발표했다. 디지털 요소가 있는 제품에 대한 공통 사이버보안 요구사항을 확립하고 공급망 표준을 수립하겠다는 것으로, 하드웨어와 소프트웨어 제품을 광범위하게 포함한다. 네트워크에 연결 가능한 제품, 어플리케이션, 장치들도 대상으로 삼는다.

해당 법안의 주요 목표는 제품이 취약점이 적은 상태로 시장에 출시되고, 사용자가 제품 선택 시 사이버보안을 함께 고려할 수 있는 환경을 조성하는 것이다. 때문에 세부 수명 주기 전체에 걸쳐 제품 보안을 개선해야 하고, 사이버 보안 프레임 워크 적용, 제품 보안 속성에 대한 투명성 확보 등이 필요하다.

정성훈 부장은 “SBOM은 미국과 유럽의 보안규제가 모두 요구하면서 화제가 되고 있다”라며 “코드와 소프트웨어에 어떤 라이브러리와 오픈소스 등이 포함됐는지에 대한 리스트를 기업이 개발 과정에서 지속적으로, 정확하게 생성할 수 있어야 한다”라고 강조했다.

SBOM에는 ▲보호(소프트웨어 빌드, 개발 환경) ▲보안테스트 ▲투명성(제품 지원기간 명확화) ▲지속적인 취약점 대응 프로세스 등이 포함돼야 하며, 각 분야에서 전문가들이 담당한 과제나 제조업체, 유통업체, 사업자 별로 규격강화와 함께 대응책을 가지고 있어야 한다.

그는 “SBOM을 생성하는 부분에 대해 현재 많이 논의되고 있는 것이 보안 담당자의 리소스가 부족하다는 것”이라며 “소프트웨어는 모두의 문제로, 개발팀이나 출하팀을 비롯한 모두가 관심을 가지고 유기적으로 움직여 대응해야 한다”라고 조언했다.